那些遇到过的问题

Serilog HTTP 接收器 + Logstash:将 Serilog 消息数组拆分为单个日志事件

Ada*_*lik 5 c# logging logstash serilog elastic-stack

我们使用Serilog HTTP 接收器将消息发送到 Logstash。但是HTTP消息体是这样的:

{
  "events": [
    {
      "Timestamp": "2016-11-03T00:09:11.4899425+01:00",
      "Level": "Debug",
      "MessageTemplate": "Logging {@Heartbeat} from {Computer}",
      "RenderedMessage": "Logging { UserName: \"Mike\", UserDomainName: \"Home\" } from \"Workstation\"",
      "Properties": {
        "Heartbeat": {
          "UserName": "Mike",
          "UserDomainName": "Home"
        },
        "Computer": "Workstation"
      }
    },
    {
      "Timestamp": "2016-11-03T00:09:12.4905685+01:00",
      "Level": "Debug",
      "MessageTemplate": "Logging {@Heartbeat} from {Computer}",
      "RenderedMessage": "Logging { UserName: \"Mike\", UserDomainName: \"Home\" } from \"Workstation\"",
      "Properties": {
        "Heartbeat": {
          "UserName": "Mike",
          "UserDomainName": "Home"
        },
        "Computer": "Workstation"
      }
    }
  ]
}
Run Code Online (Sandbox Code Playgroud)

IE。日志事件在一个数组中批处理。可以一条一条地发送消息,但它仍然是一个单项数组。

然后该事件在 Kibana 中显示为具有message带值的字段

{
  "events": [
    {
      // ...
    },
    {
      // ...
    }
  ]
}
Run Code Online (Sandbox Code Playgroud)

IE。字面意思是来自 HTTP 输入的内容。

如何将events数组中的项目拆分为单独的日志记录事件并将属性“上拉”到顶层,以便在 ElasticSearch 中有两个日志记录事件:

  "Timestamp": "2016-11-03T00:09:11.4899425+01:00",
  "Level": "Debug",
  "MessageTemplate": "Logging {@Heartbeat} from {Computer}",
  "RenderedMessage": "Logging { UserName: \"Mike\", UserDomainName: \"Home\" } from \"Workstation\"",
  "Properties": {
    "Heartbeat": {
      "UserName": "Mike",
      "UserDomainName": "Home"
    },
    "Computer": "Workstation"
  }
Run Code Online (Sandbox Code Playgroud) 
  "Timestamp": "2016-11-03T00:09:12.4905685+01:00",
  "Level": "Debug",
  "MessageTemplate": "Logging {@Heartbeat} from {Computer}",
  "RenderedMessage": "Logging { UserName: \"Mike\", UserDomainName: \"Home\" } from \"Workstation\"",
  "Properties": {
    "Heartbeat": {
      "UserName": "Mike",
      "UserDomainName": "Home"
    },
    "Computer": "Workstation"
  }
Run Code Online (Sandbox Code Playgroud)

我试过 Logstash jsonsplit,但我不能让它工作。

Ada*_*lik 1

升级到 Logstash 5.0 后,由于事件 API的更改, Val 的解决方案停止工作:更新未反映在原始版本中。对于 Logstash 5.0+ ,必须使用访问器。event.to_hasheventevent.get('field')event.set('field', value)

现在更新的解决方案是:

input {
  http {
    port => 8080
    codec => json
  }
}

filter {
  split {
    field => "events"
  }
  ruby {
    code => "
      event.get('events').each do |k, v|
        event.set(k, v)
      end
    "
  }
  mutate {
    remove_field => [ "events" ]
  }
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

2116 次

最近记录:

5 年,10 月 前
相关归档
如何在C#程序中执行存储过程 243
设计F#库以供F#和C#使用的最佳方法 104
将变量转换为仅在运行时已知的类型? 75
Mac上的Visual Studio 43
如何配置Tomcat JULI日志记录以滚动日志文件? 17
在没有试用许可证的情况下运行Elastic 7
在哪里调用 Sentry.configureScope? 7
将关联或跟踪 ID 添加到 Python 日志调用 6
Monolog:将不同的通道和多个处理程序记录到分组日志文件+专用日志文件中 5
如何使用Enterprise Library Logging登录到用户的ApplicationData文件夹? 3
难疑归档
使用Java创建内存泄漏 3076
如何让Git忽略文件模式(chmod)的变化? 2188
PHP'foreach'如何实际工作? 1926
Git拒绝合并关于rebase的无关历史 1862
PowerShell说"在这个系统上禁用了脚本的执行." 1545
<meta charset ="utf-8"> vs <meta http-equiv ="Content-Type"> 1499
如何解决"断点当前不会被命中.此文档没有加载任何符号." 警告? 1456
如何完全卸载Node.js,并从头开始重新安装(Mac OS X) 1196
忽略git项目中的任何"bin"目录 1172
如何从Python字符串中修剪空格? 1103